벤더들이 자주 거짓말한다는 의심은 어제오늘의 일이 아니다. 하지만 종종 벤더들은 자신들의 주장을 스스로 믿기 때문에 그토록 스스럼 없이 거짓말하는 것일 수도 있다.
포레스터 리서치는 최근 풀-노-펀치스(pull-no-punches) 블로그 게시물에서 몇몇 벤더들의 행태를 지적했다. 고객 기업의 IT 리더들에게 거짓말을 하거나 엔터프라이즈 IT에 대해 너무 무지한 나머지 자신의 허위 과대 광고를 실제로 믿고 있다는 지적이었다.
이는 미묘한 문제로 이어진다. 벤더가 고객 기업의 기술 요구사항을 이해하지 못하는 경우에도 IT 책임자 및 최고 경영진은 당연히 이를 이해하고 있기 마련이다. 그렇다면 왜 잘 알만한 고객층에게도 벤더들은 과장 또는 거짓말을 스스럼없이 하는 것일까? 가능성 있는 대답은 다음과 같다. 특히 기술 대기업을 포함한 다수의 벤더가 거짓말 및 과장을 너무나 자주하기 때문에 특정 벤더의 거짓말을 공공연히 문제시하기가 거의 불가능하기 때문이다.
IT 리더들의 정치적 문제 또한 작용하고 있을 가능성도 있다. CIO, IT 책임자 및 CSIO 모두 평균 18개월 정도마다 이직하곤 한다. 따라서 이들은 보너스 및 기타 인센티브를 받기 위해 위험 부담을 피해 안전하게 움직여야 한다.
예를 들어, CSIO가 상대적으로 소규모인 벤더가 자신의 회사에 적합한 선택지라고 생각한다고 가정해보자. CSIO가 이러한 선택을 해서 문제가 발생할 경우, CEO는 CSIO를 비난할 가능성이 높다. 그러나 CSIO가 마이크로소프트, 오라클 혹은 구글을 선택했는데, 문제가 발생했다면 CISO가 비난받을 가능성은 희박하다. (‘IBM을 샀다고 해고된 사람은 없다’라는 IT 분야의 속담이 회자되는 데에는 이유가 있다.)
포레스터의 보안 및 리스크 담당 수석 분석가인 앨리 멜렌은 벤더의 거짓 행태에 대해‘블롭(blobs)’이라는 표현을 사용했다. 그는 “자기만의 반향실에 너무 깊이 심취한 나머지 일련의 아이디어들이 주장을 뒷받침하는 하나의 단위가 되어버린 집단이 블롭이다. 또한 이들은 자신의 사고 실험에 사로잡혀 현장의 현실을 제대로 직시하지 못한다. 벤더 마케팅 메시지와 현실 사이의 경계가 완전히 흔들릴 정도로 매몰된 사람들이 바로 이 집단이다”라고 설명했다.
그는 ‘SIEM은 죽었다’, ‘AI가 탐지 문제를 해결한다’, ‘좋은 예방책을 가지고 있다면 탐지가 필요 없다’, ‘자율 SOC/자동화가 인재 부족 문제를 해결해줄 것이다’와 같은 목소리들이 터무니없는 주장의 대표적 사례들이라고 제시했다.
멜렌은 인터뷰에서 IT 및 보안 경영진들은 대개 거짓말을 인지하지만 이를 무시한 채 감지할 수 있는 세부 정보를 기반으로 의사 결정을 내린다고 설명을 이어갔다. 그는 또 경영진들이 동료와의 네트워킹을 늘리고 다른 기업의 사례를 파악하기 위해 다양한 전술을 활용해야 한다고 언급했다. 아울러 벤더의 마케터가 아닌, 벤더의 엔지니어들과의 대화 또한 진실을 파악하기 위한 또 하나의 훌륭한 방법이라고 그는 이야기했다.
8개 기업의 CSIO이자 FIDO 얼라이언스(FIDO Alliance)의 이사회 멤버인 마이클 오버랜더는 멜렌의 주장에 동의하면서도, 벤더의 허위 주장을 간파하는 IT 및 보안 리더들의 비율이 과연 높은가에 대해서는 의문을 제기했다. ‘글로벌 CSIO: 전략, 전술 및 리더십(Global CSIO:Strategy, Tactics and Leadership)’의 저자이기도 한 그는 “모든CSIO가 동일한 수준이라고 가정하면 곤란하다. 이들은 모두 동일한 직함을 가지고 있으나 동일한 경험을 가진 것은 아니다”라고 설명했다.
일부 경영진들은 이 일을 처음 맡은 초보자일 수 있고, 또 다른 일부 경영진들은 기술 혹은 보안 분야에서 경력을 갖추고 있지 않을 수 있다. 그는 “벤더의 주장을 검증 및 확인하기 위한 지식 및 이해도가 필요하다. 일부는 실제로 벤더가 제공하는 허위 정보를 맹신하고 있다”라고 말했다.
이는 타당한 지적이다. 하지만 현실의 경계를 그리 선명하지 않을 수도 있다. ‘믿는 것’과 ‘너무나 믿고 싶어 스스로를 설득해 실제로 믿게 되는 것’이 있다. XYZ를 수행하기 위해 기업이 소프트웨어를 필요로 하고 벤더가 제품이 이를 제공한다고 문서화하고자 하는 경우, ‘믿는 것’을 택한다면 삶은 훨씬 수월해질 수 있다.
구체적인 접근 방식은 개념 증명(POC)을 가능한 한 많이 추진하는 것이라고 오벌랜더는 설명했다. 그는 “자체 환경에서 시도해보자. 그리고 테스트 시 임의적 시간 제한과 같은 벤더의 제한을 거부하자. 일반적으로 의미 있는 POC는 90일 이상 걸릴 것이다”라고 말했다.
또한 그는 “최소 4~5개의 벤더와 POC를 수행할 수 있도록 충분한 자금 확보를 추진할 것을 권장한다”라고 덧붙였다.
또 다른 주의 사항이 있다. IT 의사 결정자는 벤더가 비밀 유지 계약서(NDA, non-disclosure agreements)를 고집하는 것을 의심해야 한다. 앞서 POC를 수행한 다른 이와 대화해 이들이 배운 내용을 파악하는 게 좋다. (참고: NDA를 요청하는 것은 NDA를 고집하는 것과 다르다.)
좀 더 광범위하게 말하자면, 벤더의 과대 광고를 자세히 검토하고자 할 때 다음과 같은 핵심 질문을 염두에 둘 필요가 있다. 이 제품을 관리하는 데 얼마나 많은 인력이 필요할까? 현재 환경에서 애플리케이션 및 도구와 얼마나 잘 작동하나? 얼마나 많은 인력이 필요하며 이는 총 소유 비용에 어떠한 영향을 주는가?
관심을 덜 필요로 하고 스스로 작동하며 많은 충돌 및 기타 문제를 발생시키지 않을 경우, 덜 강력해 보이는 옵션이 더 나은 선택지가 될 수 있다는 게 간단한 진실이다. 팀의 화재 진압 시간은 제한되어 있다.
이 주제에 대한 링크드인 토론에서 데렉 앤드루(신원을 밝히지 않은 대규모 비영리 단체의 사이버 보안 운영 및 사고 대응 책임자)는 이를 “블롭은 20년 이상의 기술을 다뤄온 IT 리더들이 감소하면서도 나타난 결과다. 이들은 구매하는 제품 및 해결해야 할 문제, 자신이 만들어낼 문제의 현실을 파악하지 못하므로 마케팅 과대 광고의 먹이가 된다. 엔지니어들이 회의실에 있을 때 벤더 영업팀들이 프레젠테이션 하고 싶어하지 않는 이유가 여기에 있다. 마법의 크리스탈을 판매하기가 어려워진다”라고 언급했다.
또한 그는 “포레스터 및 가트너와 같은 시장 조사 기업들 또한 이러한 블롭 문제 발생에 기여했으므로 전혀 잘못이 없는 것은 아니다”라고 덧붙였다.
업계 분석가들이 과장 광고에 대한 책임 중 적어도 일부를 공유하고 있다는 앤드류의 지적은 타당하다. 또한 IT 기자들 또한 벤더의 검증되지 않은 주장을 복제 및 증폭하곤 했다는 점을 인정해야 한다.
과대 광고가 곳곳에서 쏟아져 나오는 지금 CIO 및 CSIO는 최선의 방향을 정할 수 있도록 객관적인 세부 정보를 찾고자 강력한 노력을 기울여야 한다.
포레스터 분석가인 멜렌은 게시물에서 “희소식이 있다. 여러분도 블롭의 확산을 막는 데 기여할 수 있다. 실무자의 말에 귀를 기울이자. 이론적인 게 아니라 실제 기술적인 문제의 세부 사항을 파고드는 강연에 참석하자. 현 상황에 도전하고 비판적으로 사고하며 들려오는 일회성 논평보다 더 깊게 사고하자”라고 말했다.
* Evan Schuman는 CBS뉴스닷컴, 리테일위크, 컴퓨터월드,이위크의 칼럼니스트이자 리테일 기술 사이트 ‘스토어프론트백토크’의 설립 편집자다.dl-ciokorea@foundryco.com
